En faisant une analyse secondaire de diverses études portant sur près de six milliards d'attaques perpétrées en 2014, le Global Threat Intelligence Report du NTT Innovation Institute décrit un état des cyber-menaces dans le monde. L'étude se concentre sur des évolutions mesurables pour définir les contours des risques majeurs et ainsi adapter les priorités de la politique de sécurité.
La situation varie de manière importante entre les pays. En France, le secteur le plus menacé est celui des banques et institutions financières (32,% des cas), devant l'industrie pharmaceutique (26%) et les services (18%). Institutions publiques (2%) et santé (3%) sont des secteurs loin derrière mais la situation est inverse au Royaume Uni où le secteur public est en tête avec 32% des cyber-attaques. Les médias sont très rarement attaqués en France mais constituent 13% des cibles à Hong Kong.
Le DDoS surestimé, les failles anciennes oubliées
Alors que les attaques DDoS concentrent la plupart des attentions, ce type d'attaques est minoritaire : 11% des actes malveillants. En tête, on trouve en effet les attaques par activité anormales (35%), devant celles par usurpation d'identité (19%) et celles par manipulation du réseau (12,5%). 63% des attaques DDoS utilisent une amplification UDP. Les DDoS reposent souvent sur des protocoles NTP et SSDP et s'appuient de plus en plus souvent sur les services DNS. Le but poursuivi par les pirates est de détourner des terminaux fragiles pour les rendre complices de leurs attaques.
Mais le pire est le constat selon lequel 76% des failles exploitées étaient identifiées depuis plus de deux ans et 9% plus de dix ans ! L'éradication des vulnérabilités bien identifiées n'est tout simplement pas une priorité dans les entreprises.
Les attaques ne proviennent pas directement de pays considérés comme dangereux. 56% des attaques constatées par NTT proviennent ainsi d'ordinateurs situés aux Etats-Unis. Les cibles sont également des ordinateurs plus vulnérables et moins surveillés, les terminaux (85% des attaques), notamment mobiles, plutôt que les serveurs. Il en résulte une chûte du nombre d'attaques durant les week-ends et en dehors des heures normales de travail, lorsque les ordinateurs sont éteints.